La Directiva de Seguridad Cibernética NIS2 salió a la luz el 10 de noviembre para hacer cumplir la regulación anterior (NIS de 2016) sobre el aumento de las amenazas de seguridad cibernética que los miembros de la Unión Europea enfrentaban, y continúan enfrentando, todos los días. ¿Qué esperamos de la evolución de esta aplicación de la ley?

Directiva NIS2: desde 2016 hasta la actualidad 

Cómo nace la Directiva NIS 

Durante la última década, en paralelo con la creciente digitalización de los modelos de negocio, la interconexión y la interdependencia, ha surgido un panorama de amenazas cibernéticas altamente complejo, diverso y en constante evolución. Se ha pedido a los reguladores de todo el mundo que tomen medidas y mitiguen el riesgo cibernético, especialmente en sectores y operadores que brindan servicios esenciales a clientes y empresas, como energía, transporte e infraestructura digital, que se ponen en riesgo por las amenazas cibernéticas. 

La Directiva NSI en breve 

La Directiva NIS (UE 2016/1148 – Directiva de Seguridad de las Redes y de la Información) se creó en respuesta a esta necesidad. Es la primera pieza de legislación de la Unión Europea cuyo objetivo principal es elevar el nivel de seguridad cibernética dentro de la UE. 

En primer lugar, la Directiva tiene tres ámbitos principales de interés: 

  • mejorar las capacidades nacionales de seguridad cibernética; 
  • reforzar la cooperación a escala de la UE; 
  • promover una cultura de gestión de riesgos y notificación de incidentes entre los principales actores económicos. En particular, para aquellos operadores que prestan servicios esenciales para el mantenimiento de actividades económicas, sociales y proveedores de servicios digitales. 

Directiva NIS2Más en detalle, de acuerdo con la Directiva, cada Estado miembro debe adoptar una estrategia nacional de ciberseguridad, definiendo los objetivos y las medidas políticas y reglamentarias adecuadas, e identificar entidades clave en diversos sectores críticos como «operadores de servicios esenciales» (OES) y garantizar que han tomado medidas adecuadas de gestión de riesgos de ciberseguridad. Las OES en virtud de la directiva NIS también deben cumplir con la obligación vinculante de informar en términos de incidentes de ciberseguridad. 

A escala de la UE, la Directiva NSI establece también un Grupo de Cooperación con el fin de apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros. También crea una red de CSIRT nacionales para fomentar el intercambio de información y las capacidades de gestión de incidentes transfronterizos. 

La aplicación de la NSI en la UE desde 2016 y la necesidad de desarrollar la Directiva 

La Unión Europea concluyó en diciembre de 2020 una evaluación de impacto sobre el funcionamiento de la Directiva en los Estados miembros de la UE. Destaca varios aspectos potenciales de mejora para la legislación. Una piedra angular para la mitigación del riesgo cibernético en la UE, que también aumenta constantemente en relación con los eventos globales (pandemia e inestabilidad geopolítica). 

Man touching a padlock shield icon

Además, se señaló que: 

  • en la transposición de la Directiva, los Estados miembros han aplicado metodologías diferentes entre sí, empezando por la identificación de los operadores de servicios esenciales y las medidas de seguridad, contribuyendo a la falta de homogeneidad en los enfoques contrarios al objetivo de lograr un nivel común de ciberseguridad en los Estados miembros. 
  • Los sectores incluidos en la Directiva no cubren todas las áreas de producción o servicios que son esenciales para el funcionamiento de un estado, que la práctica común ha demostrado ser vulnerable y, por lo tanto, necesitaría una mayor protección (por ejemplo, el sector de fabricación de dispositivos médicos, gestión de residuos, aeroespacial). 
  • Además, se señaló que era necesario aumentar el nivel de protección sobre algunos riesgos cibernéticos significativos, como los relacionados con la cadena de suministro, que en los últimos años han dado lugar a incidentes a gran escala (por ejemplo, SolarWinds). 

 

Para abordar estos problemas, la Unión Europea aprobó una nueva estrategia de ciberseguridad en diciembre de 2020 que tiene como objetivo elevar aún más el nivel de ciberseguridad en la UE: la recién nombrada Directiva NIS2. 

Directiva NIS2: respuesta de la UE al aumento del ciberriesgo en sectores estratégicos 

NIS y NIS2 comparados: las principales y las nuevas características 

La nueva propuesta, aunque mantiene la forma de una Directiva, y confirma así el enfoque de «armonización mínima» previsto por la Directiva SRI, tiene por objeto alcanzar los siguientes objetivos: 

  • una determinación más clara y amplia del ámbito de aplicación; 
  • una racionalización de los requisitos mínimos de seguridad y los requisitos de notificación de incidentes; 
  • una mayor definición de las actividades de supervisión y ejecución por parte de las autoridades competentes. Además de un fortalecimiento significativo de la presión de las sanciones más alineada con, por ejemplo, el GDPR; 
  • un mayor enfoque en la gestión de riesgos y las vulnerabilidades de la cadena de suministro; 
  • reforzar la colaboración entre los Estados miembros y fomentar el intercambio de información entre las distintas partes interesadas. 

Man using a mobile phone with a lock system

Las principales áreas de las medidas de seguridad previstas 

En comparación con el NIS, que estipula la obligación de tomar medidas genéricamente adecuadas para gestionar los riesgos y prevenir incidentes cibernéticos, NIS2 introduce un conjunto de medidas específicas que necesariamente deben ser adoptadas por los operadores afectados. 

Estas medidas, enumeradas en el artículo 21, incluyen, como mínimo, las siguientes: 

  1. análisis de riesgos y políticas de seguridad para los sistemas de información; 
  1. gestión de incidentes (prevención, detección y respuesta a incidentes); 
  1. continuidad del negocio, como la gestión de copias de seguridad y la recuperación ante desastres, y la gestión de crisis; 
  1. la seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad relativos a las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios; 
  1. Seguridad de adquisición, desarrollo y mantenimiento de sistemas informáticos y de red. Hoy en día, esto incluye en particular servicios críticos como infraestructuras en la nube y entornos de sistemas de control industrial. 
  1. definición de estrategias y procedimientos de prueba y auditoría, para evaluar la efectividad de las medidas de gestión de riesgos de seguridad cibernética; 
  1. prácticas básicas de ciberhigiene y formación en ciberseguridad; 
  1. políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado; 
  1. seguridad de los recursos humanos, políticas de control de acceso y gestión de activos; 
  1. el uso de autenticación multifactor o soluciones de autenticación continua, comunicaciones seguras de voz, vídeo y texto y sistemas seguros de comunicación de emergencia dentro de la entidad, cuando proceda. 

Calendario y evolución futura de la Directiva NIS2 

El texto final de la Directiva NIS2 fue votado y aprobado en el Parlamento Europeo el jueves 10 de noviembre de 2022. Tras la aprobación formal del Consejo y la publicación en el Diario Oficial, los Estados miembros dispondrán de 21 meses para transponer sus disposiciones al Derecho nacional. Por lo tanto, las empresas de los sectores afectados deberán considerar cambios importantes en sus modelos de gestión de ciberseguridad para garantizar el cumplimiento. 

Garantice el cumplimiento en su negocio 

Las empresas que juegan en esos campos deben enfrentar cambios importantes en sus modelos de gestión de seguridad cibernética en el futuro cercano. Los profesionales de CyberSec pueden proporcionar los servicios que necesita para hacer frente a amenazas cibernéticas cada vez más sofisticadas y cumplir con las regulaciones. 

Póngase en contacto con nosotros para programar una reunión con nuestros expertos.